Vulnerabilidades no software permitiram que hackers acessassem sistemas de arquivos e executassem códigos, alertou a Agência de Segurança Cibernética e de Infraestrutura dos EUA no domingo.
Embora a Microsoft tenha anunciado no fim de semana que havia lançado um novo patch para os clientes aplicarem em seus servidores SharePoint “para mitigar ataques ativos direcionados a servidores locais”, a empresa ainda estava trabalhando para implementar outros para corrigir falhas de segurança contínuas.
Empresas de segurança cibernética alertaram que uma ampla parcela das organizações pode ser afetada pela violação.
Dezenas de milhares — senão centenas de milhares — de empresas e instituições em todo o mundo usam o SharePoint de alguma forma para armazenar e colaborar em documentos.
A Microsoft informou que os hackers estão mirando especificamente em clientes que executam servidores SharePoint em suas próprias redes locais, em vez de serem hospedados e gerenciados pela empresa de tecnologia. Isso poderia limitar o impacto a uma subseção de clientes.
Silas Cutler, pesquisador da empresa de segurança cibernética Censys, sediada em Michigan, estimou que mais de 10 mil empresas com servidores SharePoint estavam em risco. Os EUA tinham o maior número dessas empresas, seguidos pela Holanda, Reino Unido e Canadá, disse ele.
“É um sonho para os operadores de ransomware, e muitos invasores também estarão trabalhando neste fim de semana”, disse ele.
A Microsoft tem tentado reforçar sua segurança cibernética após uma série de falhas de alto perfil, contratando novos executivos de órgãos, como o governo dos EUA, e realizando reuniões semanais com executivos seniores para tornar seu software mais resiliente.
A tecnologia da empresa tem sido alvo de vários ataques generalizados e prejudiciais nos últimos anos, e um relatório do governo dos EUA de 2024 descreveu a cultura de segurança da empresa como necessitando de reformas urgentes.
A Palo Alto Networks alertou que “as explorações do SharePoint são reais, em ação e representam uma séria ameaça”. O Google Threat Intelligence Group afirmou em um comunicado por e-mail que observou hackers explorando a vulnerabilidade, acrescentando que ela permite “acesso persistente e não autenticado e representa um risco significativo para as organizações afetadas”.
“Quando conseguem comprometer a fortaleza que é o SharePoint, todos ficam à vontade, porque esse é um dos protocolos de segurança mais rigorosos que existem”, disse Gene Yu, CEO da Blackpanda, empresa de resposta a incidentes cibernéticos com sede em Singapura.
O Washington Post noticiou que a violação afetou agências federais e estaduais dos EUA, universidades, empresas de energia e uma empresa asiática de telecomunicações, citando autoridades estaduais e pesquisadores privados.
“Pesquisadores da Eye Security foram os primeiros a identificar a vulnerabilidade”, disse Cutler. Eles relataram uma intrusão na sexta-feira (18) semelhante à identificada no início da semana em uma demonstração pelos pesquisadores da Code White GmbH, que reproduziu vulnerabilidades apresentadas por outros no concurso de hacking Pwn2Own.
Atuação hacker
A Eye Security afirmou que a vulnerabilidade permite que hackers acessem servidores do SharePoint e roubem chaves que lhes permitem se passar por usuários ou serviços, mesmo após o servidor ser corrigido.
A empresa afirmou que hackers podem manter o acesso por meio de backdoors ou componentes modificados que podem sobreviver a atualizações e reinicializações de sistemas.
O porta-voz da Microsoft não quis comentar além do comunicado da empresa.
A Microsoft enfrentou uma série de ataques cibernéticos recentes, alertando em março que hackers chineses estavam mirando em ferramentas de gerenciamento remoto e aplicativos em nuvem para espionar uma série de empresas e organizações nos EUA e no exterior.
O Conselho de Revisão de Segurança Cibernética, um grupo mandatado pela Casa Branca e criado para examinar grandes ataques cibernéticos, afirmou que a cultura de segurança da Microsoft era “inadequada” após o ataque hacker às caixas de correio do Exchange Online da empresa em 2023.
Nesse incidente, hackers conseguiram invadir 22 organizações e centenas de indivíduos, incluindo a ex-secretária de Comércio dos EUA, Gina Raimondo.
